Por Prof. AMR. Em, 17/02/2026

Segue abaixo o artigo "Como recuperar ou apagar dados em dispositivos? Riscos da prova digital" publicado originalmente na CONJUR [aqui] aborda os limites e possibilidades da recuperação de mensagens apagadas em smartphones, indicando mitos, realidades e recomendações. Publicado por Aury Lopes Jr, Alexandre Morais da Rosa, Dellano de Sousa e Joaquim Bartolomeu Ferreira Neto, em 12/12/2025.

Na primeira parte há uma explicação estruturada. Na segunda o artigo original na íntegra.

Primeira Parte: Explicação Estruturada

html> Recuperação de Mensagens Apagadas em Smartphones

Recuperação de Mensagens Apagadas em Smartphones

Mitos, Realidades e Recomendações

Autores: Aury Lopes Jr., Alexandre Morais da Rosa, Leandro Morales Baier Stefano e Dellano Souza

Atualizado em:

Introdução

No mundo conectado de hoje, mensagens em aplicativos (como WhatsApp e Signal) tornaram-se parte íntima da vida pessoal e profissional. Advogados e profissionais do direito se deparam com múltiplos casos em que surge a dúvida: será que mensagens apagadas podem ser recuperadas?

💡 Para tratar desse tema com clareza e profundidade, precisamos entender como os celulares armazenam dados e quais fatores técnicos influenciam na recuperação dessas mensagens.

Nesta versão introdutória, abordaremos conceitos como memória flash, criptografia, bancos de dados SQLite e ferramentas forenses de forma acessível, usando analogias cotidianas. Também apresentaremos tabelas comparativas e casos reais, encerrando com recomendações práticas para usuários, advogados e peritos.

Como os smartphones armazenam dados

Diferentemente de computadores tradicionais com discos rígidos mecânicos (HDD), os smartphones usam memória flash – semelhante aos SSDs e pendrives – que no possui partes móveis. Considere uma estante de livros onde cada livro é composto por páginas que podem ser preenchidas ou liberadas.

O que acontece quando você apaga algo?

Quando apagamos um arquivo (como uma mensagem), o sistema não apaga imediatamente o conteúdo dessas páginas; ele apenas marca aquele espaço como livre para ser usado de novo. É como riscar algo numa lousa de giz: mesmo depois de apagar, pode sobrar um leve traço até que se limpe totalmente.

Wear Leveling

A memória flash do celular usa um mecanismo chamado wear leveling, que redistribui dados para evitar desgaste excessivo em uma só região. Funciona como alguém reorganizando livros numa estante para que todos sejam usados por igual, tornando mais difícil localizar dados apagados.

Tabela 1: Comparação entre Computadores e Celulares

Tópico	Computador (HDD/SSD)	Celular (Memória flash)
Tipo de armazenamento	Em PCs antigos, discos rígidos (HDD) mecânicos; em muitos computadores modernos, SSD (memória flash)	Smartphones usam exclusivamente memória flash (sem partes móveis)
Ao apagar um arquivo	Em um HDD, o sistema marca o espaço como livre, mas o dado permanece até ser sobrescrito. Em SSDs, geralmente ocorre o mesmo, mas com TRIM ativado	Semelhante: o espaço é marcado como livre. Porém, devido ao wear leveling e TRIM, o celular pode apagar efetivamente esses dados mais rápido no hardware
Uso de TRIM	Em SSDs de PC, o TRIM também existe (em sistemas modernos) para otimizar o espaço livre	Celulares Android e iOS usam o TRIM ou equivalente para informar ao chip flash quais blocos não estão mais em uso
Gerenciamento de desgaste	SSDs têm wear leveling, mas a maioria dos HDDs não; em HDDs apenas há marcação de setores	Celulares dependem fortemente de wear leveling, que espalha gravações, dificultando encontrar vestígios de dados antigos
Criptografia embutida	Muitos computadores podem ter criptografia (BitLocker, FileVault), mas não é obrigatória	A maioria dos smartphones modernos já vem com criptografia por padrão (Full-Disk Encryption ou File-Based Encryption), protegendo todos os dados

Conclusão: Apagar um arquivo em um celular não é tão simples quanto em um PC antigo. O processo de limpeza do armazenamento pode ocorrer de forma automática e bastante ativa, muitas vezes eliminando vestígios dos dados apagados sem aviso. A crença de que "se apaguei, dá para recuperar" é frequentemente um mito.

Criptografia: o cofre digital das mensagens

Um grande obstáculo à recuperação de mensagens apagadas é a criptografia. Em termos simples, criptografar é como guardar informações num cofre trancado: mesmo tendo o cofre (o arquivo ou o banco de dados), sin a chave correta o conteúdo se torna indecifrável.

Criptografia do Dispositivo

iOS e Android protegem todo o armazenamento por padrão. No iPhone, existe um chip especial chamado Secure Enclave Sistema de segurança exclusivo da Apple para armazenar chaves criptográficas que guarda a chave de criptografia. No Android moderno, há o Titan M Chip de segurança dos smartphones Google Pixel ou equivalentes.

Criptografia de Apps

Aplicativos como WhatsApp e Signal usam criptografia ponta a ponta Só o remetente e destinatário podem ler as mensagens . Mesmo que alguém obtenha os arquivos das mensagens, não será possível ler o conteúdo sem a chave correta.

Importante

Se a conversa estiver criptografada e ninguém der a chave, as ferramentas forenses podem até extrair milhões de bytes, mas tudo o que verão serão dados embaralhados. A criptografia é a "muralha" mais alta — e rompê-la geralmente é impossível sem a colaboração do usuário ou uma falha de segurança grave.

Bancos de dados (SQLite) de aplicativos de mensagens

Os aplicativos de mensagens armazenam as conversas localmente en arquivos especializados. A maioria deles (WhatsApp, Signal, Telegram etc.) usa o SQLite, um motor de banco de dados leve embutido. Podemos imaginar o SQLite como um caderno de anotações:

Arquivo .db SQLite

"Caderno principal" onde as mensagens são armazenadas en tabelas. Quando uma mensagem é deletada, o SQLite marca aquela "linha" como livre, mas o texto pode permanecer temporariamente.

Arquivo WAL

Registro de alterações pendentes (como um bloco de notas extra). Pode conter rastros de mensagens recentemente apagadas até ser integrado ao banco principal.

Arquivo SHM

Índice temporário de acesso compartilhado. Funciona como um marcador de organização, mas não contém o conteúdo das mensagens.

Tabela 2: Possibilidades de recuperação em bancos SQLite

Cenários	Recupeável?	Comentários
Mensagens de apps não criptografados (SMS em Android antigo)	Sim, em parte	Se não há criptografia, é possível encontrar bancos e logs com mensagens excluídas recentes, se não sobrescritas
Mensagens em apps com criptografia (WhatsApp, Signal)	Não	Mesmo que se obtenha o arquivo SQLite, sem a chave todas as mensagens são inacessíveis
Arquivo WAL com mensagens recentemente apagadas	Talvez, mas improvável	O WAL pode conter fragmentos, mas é volátil e é zerado a cada "checkpoint"
Espaço não alocado no arquivo .db	Muito difícil	Mensagens apagadas ficam em páginas marcadas como livres, mas logo podem ser sobrescritas

Em síntese, embora a arquitetura do SQLite permita teoricamente que partes de mensagens apagadas fiquem no disco, na prática a combinação de criptografia forte, a natureza volátil dos arquivos WAL/SHM e a limpeza periódica torna extremamente desafiadora (e muitas vezes impossível) recuperar conversas apagadas.

Ferramentas forenses: até onde vão

Ferramentas como Cellebrite UFED, Oxygen Forensic, MSAB XRY e outras são frequentemente vistas como "varinhas mágicas" que extraem qualquer dado de qualquer celular. Na verdade, elas são sofisticadas, mas têm limites claros.

Níveis de extração de dados:

Extração Lógica: Faz um "backup" dos dados acessíveis (mensagens ativas, fotos, contatos). Raramente inclui dados apagados ou escondidos.

Extração do Sistema de Arquivos: Tenta acessar a estrutura interna. Sem chaves ou vulnerabilidades, nã alcança áreas bloqueadas ou arquivos criptografados.

Extração Física: Busca copiar bit a bit toda a memória flash. Enfrenta duas barreiras: criptografia completa e proteções de hardware (Secure Enclave, Titan M).

Principais limitações das ferramentas:

Criptografia: Sem a chave certa, os dados extraídos ficam embaralhados e sem significado
Segurança do Sistema Operacional: iOS e Android atuais são projetados com forte proteção
Exploits específicos: Técnicas que funcionavam em versões antigas não funcionam em dispositivos novos ou atualizados

Em dispositivos modernos e atualizados, a resposta dos peritos costuma ser menos promissora: mensagens apagadas dificilmente são recuperadas diretamente. Nas palavras de um perito: "Não trabalhamos com magia, trabalhamos com ciência dentro dos limites tecnológicos atuais".

Atualizações de software e o ciclo "caça e rato"

Os sistemas de segurança em celulares vivem num eterno jogo de atualização e correção. Quando uma vulnerabilidade é descoberta, a fabricante rapidamente lanç uma atualização para fechá-la. Isso significa que algo que funcionava ontem pode parar de funcionar hoje.

Apple (iOS)

Investe em Secure Enclave, um chip dedicado que protege informações críticas. Cada atualização do iOS torna os métodos de extração mais difíceis. O ecossistema fechado permite atualizações uniformes.

Google (Android)

Utiliza chips como Titan M nos Pixels. O desafio é maior pela fragmentação: cada fabricante (Samsung, Motorola etc.) cria seu próprio cronograma de updates, resultando em cenários heterogêneos.

Mudanças recentes em atualizações:

Algoritmos mais avançados de criptografia
Fortalecem as chaves que guardam as senhas
Criam políticas mais rígidas de acesso a arquivos
Implementam recursos de segurança por hardware

Exemplos práticos e estudos de caso

1 WhatsApp: Mensagens importantes apagadas

Uma pessoa relatou que apagou conversas do WhatsApp e precisava recuperá-las para um processo. O perito tentou técnicas padrão, mas:

O celular era moderno e atualizado
O WhatsApp estava criptografado
Nenhum dado apagado foi encontrado

Resultado: Cliente ficou sem evidência, pois não havia backup anterior nem meios de quebrar a criptografia.

2 Áudio "recuperado" via busca no sistema

Um áudio importante do WhatsApp foi perdido. Na investigação:

O arquivo de áudio foi encontrado numa pasta do sistema
O WhatsApp só havia removido a referência no banco de dados
O arquivo físico (mp4a) ainda estava intacto no armazenamento

Observação: Não foi recuperação do banco de dados do WhatsApp, mas sim localização de um arquivo existente em outro local.

3 Mídia confunde "print" com recuperação

Reportagens diziam que peritos "recuperaram mensagens apagadas" em casos de destaque. Na verdade:

O usuário tinha feito capturas de tela antes de apagar
Apresentou essas capturas em juízo
Não houve técnica forense de extração

Conclusão: Muitos "casos de recuperação" na mídia são na verdade apresentação de evidências paralelas, não recuperação técnica de dados criptografados.

Recomendações práticas

Para usuários

Faça backups regulares das conversas importantes
Mantenha seu celular atualizado
Use senhas fortes e bloqueio de tela
Não confie em "promessas" de recuperação fácil de dados apagados

Para advogados

Gerencie expectativas sobre recuperação
Conserve evidências adequadamente
Considere outras fontes além do dispositivo
Use peritos qualificados e documente tudo

Para peritos

Atualize-se constantemente
Use linguagem clara em relatórios
Seja ético e realista no que promete
Explore dados de terceiros quando possível

Recuperar mensagens apagadas em smartphones não é tarefa simples ou garantida. É preciso entender o funcionamento interno dos dispositivos, respeitar as barreiras de segurança e trabalhar com cautela. O conhecimento adequado permite agir de forma inteligente diante dessa realidade tecnológica.

P.S. No final de semana aconteceu, em Fortaleza, o maior evento jurídico do ano: ExpoDireitoBrasil, realizado pelo parceiro Allan Christyan. Em 2026 será em Brasília. Prepare-se.

<Made with

DeepSite - 🧬 Remix

Segunda Parte: Artigo Original [aqui]:

Como recuperar ou apagar dados em dispositivos? Riscos da prova digital

12 de dezembro de 2025, 9h1

Do que se trata?

A recuperação de arquivos apagados se tornou um elemento central em investigações envolvendo dispositivos digitais. A crescente sofisticação das técnicas forenses permite resgatar dados e informações que, à primeira vista, parecem perdidos. Para compreender os limites e possibilidades, antes é preciso entender como os sistemas armazenam e excluem arquivos. Só assim será possível a identificação de conformidade ou de vícios, associados à valoração probatória.

O artigo a seguir explica, de forma acessível, o funcionamento da exclusão de arquivos, as diferenças entre métodos de recuperação e as limitações impostas pelas tecnologias atuais de armazenamento.

O que realmente acontece quando um arquivo é deletado

Ao contrário do que muitas pessoas imaginam, excluir um arquivo não significa eliminá-lo imediatamente do disco ou dispositivo de armazenamento. Na prática, o sistema operacional simplesmente deixa de exibi-lo e marca o espaço onde ele estava como disponível para uso futuro. A estratégia é utilizada para melhorar a performance do sistema, evitando que a exclusão exija tempo adicional para limpar todos os dados de forma ‘permanente’.

Assim, enquanto o espaço marcado não é sobrescrito por novos dados (reocupado), o conteúdo permanece no dispositivo e pode ser recuperado por técnicas especializadas. A característica explica por qual motivo arquivos aparentemente apagados podem ressurgir em análises periciais. Se você apagar uma foto, p.ex., embora não apareça mais no aplicativo de fotos, a exclusão definitiva demanda o uso de camadas adicionais.

Diferenças entre HDs e SSDs no processo de recuperação

A possibilidade de recuperar dados depende, em grande parte, do tipo de tecnologia de armazenamento.

HDs mecânicos: os discos rígidos tradicionais funcionam com pratos magnéticos e cabeças de leitura e os setores marcados como livres tendem a permanecer intactos por longos períodos, o que permite: [a] maior janela de tempo para recuperar arquivos; [b] maior probabilidade de preservar fragmentos antigos; e, [c] possibilidade de encontrar dados de usuários anteriores. Por isso, HDs geralmente permitem recuperação mais robusta e mais extensa quando comparados a tecnologias modernas.

SSDs e a tecnologia Trim: SSDs trabalham com memória flash e dependem de uma gestão interna de células para evitar desgaste. Para manter o desempenho, os dispositivos utilizam um comando especial chamado Trim, que informa ao SSD quais blocos foram marcados como livres. Quando o Trim entra em ação, o dispositivo tende a limpar os blocos de maneira definitiva.

O resultado é que arquivos apagados em SSDs: [a] geralmente desaparecem de forma permanente; [b] dificilmente podem ser recuperados por data carving.

Importância: A diferença tecnológica influencia diretamente a atuação pericial e deve ser considerada ao avaliar a força probatória de dados recuperados.

Data carving e recuperação em nível de sistema de arquivos

Do ponto de vista forense, existem dois principais abordagens:

1 Data carving

O data carving procura fragmentos de arquivos diretamente nos setores do dispositivo, independentemente de o sistema de arquivos ainda guardar os respectivos dados/informações. É como encontrar páginas soltas de um livro sem saber quem era o dono anterior nem quando as escreveu.

No entanto, o método apresenta riscos significativos: [a] ausência de metadados confiáveis; [b] possibilidade de recuperar fragmentos de usuários antigos; [c] reconstrução artificial de arquivos incompletos; e, [d] dificuldade de estabelecer linha do tempo ou autoria

2 Recuperação em nível de sistema de arquivos

Quando o sistema de arquivos ainda guarda metadados (dados sobre dados), é possível recuperar arquivos com: [a] datas de criação, modificação e acesso; [b] caminho original; [c] relação com perfis de usuário; e, [d] registros de aplicativos usados para abrir o arquivo e quantidade de vezes aberto.

Os elementos permitem contextualização e maior clareza na análise, desde que a extração seja completa e documentada.

Sanitização de dados: quando a eliminação precisa ser definitiva

A sanitização de dados é um conjunto de práticas que visa eliminar arquivos de forma mais segura, na prática pericial é utilizada para evitar a contaminação da análise por vestígios dos casos anteriores. Em geral, pode ocorrer por diferentes métodos, dentre eles: [a] sobrescrita completa do espaço de armazenamento; e, [b] uso de ferramentas específicas de limpeza segura

A sanitização costuma ser empregada em ambientes corporativos, governamentais e industriais para garantir que informações sensíveis não possam ser recuperadas por terceiros. No contexto pericial penal, serve para compreender se houve ou não sanitização, explicando a causa da ausência de vestígios.

Exemplos

1. Exemplo A: computador de segunda mão

Um HD mecânico usado pode conter restos de arquivos antigos mesmo após formatações anteriores. O data carving pode recuperar fotos ou documentos sem qualquer ligação com o atual proprietário, o que torna arriscado interpretar a recuperação como indicativo direto de autoria.

2. Exemplo B: uso de SSD com Trim ativado

Em um notebook moderno, arquivos apagados podem desaparecer de forma permanente devido ao Trim. Nesse cenário, a ausência de dados não significa necessariamente que nunca existiram, mas pode ser consequência do funcionamento normal do dispositivo.

Existem métodos de recuperação de dados mais avançados utilizando os artefatos do sistema operacional, como por exemplo arquivos de hibernação, arquivos temporários, memória volátil e outros. Então cuidado quando for vender ou entregar seu computador, quem sabe usando um aplicativo gratuito [saiba mais aqui].

Conclusão

A recuperação de dados é uma ferramenta importante em investigações digitais. No entanto, o os resultados dependem diretamente da forma como o dispositivo armazena e apaga informações. HDs e SSDs apresentam comportamentos distintos, assim como as técnicas utilizadas para resgatar arquivos.

Enquanto o data carving pode recuperar fragmentos sem contexto e sem metadados, a recuperação em nível de sistema de arquivos tende a fornecer informações mais consistentes. Além disso, compreender a dinâmica da exclusão, o papel do Trim e os métodos de sanitização é condição de possibilidade para avaliar a presença ou ausência de vestígios digitais.

O esforço pericial deve sempre pautar-se pela contextualização técnica e na cautela interpretativa, de modo que cada vestígio digital seja analisado conforme suas limitações, características e origem tecnológica. Mas quem não sabe disso, em geral, é um agente processual amador, facilmente enganado, em descompasso com as exigências mínimas do exercício profissional. Reconhecer as limitações é o primeiro movimento. O segundo é procurar adquirir as competências necessárias. Conte conosco. Até lá, boa sorte.

Aury Lopes Jr.é doutor em Direito Processual Penal, professor titular no Programa de Pós-Graduação, Mestrado e Doutorado em Ciências Criminais da PUC-RS, autor de diversas obras publicadas pela Editora Saraiva Educação e advogado integrante do Escritório Aury Lopes Jr. Advogados,
Alexandre Morais da Rosaé desembargador do TJ-SC, doutor em Direito e professor da Universidade do Vale do Itajaí (Univali).
Dellano Sousaé advogado criminalista, perito em computação forense e presidente da Comissão de Investigação Defensiva da Abracrim-CE.
Joaquim Bartolomeu Ferreira Netoé perito digital, mentor de advogados, palestrante, membro da Comissão Especial de Perícias da OAB-SP, cautor e coautor de obras sobre provas digitais e Osint, criador dos métodos PDA e RDPD, desenvolvedor da ferramenta ADV Expert, com certificações internacionais em investigação forense (CHFI) e hacking ético (CEH), além de especializações em informática forense, cibersegurança ofensiva e perícia em áudio e imagem.